现如今,智能手机已经成为人们日常生活中最离不开的一件物品,随着使用时间越来越长,每天的充电次数也会增加。一旦遇到“电量不足”,却又不能及时充电,可能会给工作和生活带来许多麻烦。因此,共享充电宝行业应运而生,满足了消费者的应急之需。据统计,2020年中国共享充电宝用户达2.29 亿。
为了解共享充电宝服务的痛点,市消保委结合相关的消费投诉情况,组织志愿者进行了消费体察,同时委托国家网络与信息系统安全产品质量监督检验中心对相关APP及其微信公众号和小程序、支付宝小程序等软件的个人信息保护情况进行了测试,涉及美团、街电、怪兽充电、小电等品牌。主要发现以下情况:
(一)归还后未停止计费
在共享充电宝服务的投诉中,有40%的消费者反映充电宝在已经归还后很长一段时间还在计费,经了解,可能是系统错误、充电宝插反或未插紧、需要二次点击确认终止充电等原因导致消费者以为自己归还成功,但实际上后台没有停止计费,并且没有及时提醒消费者。
体察还发现,在12个品牌中,只有“电饱饱”的机柜在归还时会通过语音提醒归还成功,其他品牌均需消费者自行确认是否归还成功。而系统也只有在扣费或长时间未归还时,才有手机提醒。体察中也遇到过体验者以为归还成功,但实际未成功的情况。比如,“搜电”的充电宝上有一个物理按钮,有时需要消费者在归还后必须按一下按钮才停止计费,但却没有相关提醒;“美团”等品牌有部分机柜是竖向插入充电宝,需要轻轻放入再用力按压才能归还成功。
(二)租借容易归还难
在投诉中,有23%的消费者反映在使用完充电宝后,因附近网点少、机柜无空位、夜间关门或人为阻拦等原因难以找到空余机柜,导致无法及时归还而被持续收费,联系客服也无法提供解决方案。
体察还发现,“电饱饱”“醒电”等部分机柜地址标注不明,需多方打听才能找到,“V电”“咻电”“云充吧”“搜电”等APP/小程序上都存在因地址标注不详细或者错误、自带的导航路线或距离显示错误等原因而无法找到机柜的情况,同时存在标注的地址没有共享充电宝或者品牌被替换等现象。针对这类问题联系客服都无法立刻获得解决方案。体察者曾因为“街电”机柜放满而需要另外花时间寻找空机柜归还,由此产生的超时计费经咨询客服后获得退回。
(三)价格标识不显著、收费不合理
在投诉中,有4%的消费者反映价格标识不显著,同一品牌的计费单位有30分钟和60分钟两种,价格各异,容易误导消费者,而且使用几分钟也要按照半小时或者一小时计费。
体察还发现,各品牌虽然在2-5分钟内归还免费,但超过计费单位1分钟也会按照30分钟或60分钟计算。“搜电”“街电”“美团”“怪兽充电”会在APP/小程序上的门店信息中标注价格,所有品牌都会在用户现场扫码后显示价格,价格以30分钟或者60分钟为单位,常见价格区间为2-5元/60分钟或1.5-2.5元/30分钟。不同品牌在同一区域的价格存在差异,同一品牌在不同地区价格存在差异,即使同一品牌(如:“街电”“美团”)在同一楼层不同店铺的价格也有不同。
(四)未明示或未经同意、过度收集并传输个人信息
消费者在使用互联网服务时都很关注对个人信息的保护。2021年11月1日起施行的《个人信息保护法》规定,“处理个人信息应当遵循合法、正当、必要和诚信原则”;“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息”;“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围”。
因此,针对目前消费者在使用共享充电宝过程中可能遇到的个人信息安全问题,市消保委开展了测试。参考《APP违法违规收集使用个人信息行为认定方法》(以下简称“《认定办法》”)中的关键条目要求,通过模拟消费者在共享充电宝平台进行注册和操作,检查其隐私政策的合规性、收集信息的合理性、传输和上传信息的安全性等内容。
针对5家共享充电宝(美团、街电、倍电、搜电、小电)可以获得的APP,依据《认定办法》中提到的公开原则和必要原则,对于侵害用户个人信息主体的知情权和选择权、存在个人信息泄露和恶意滥用风险的项目进行测试。
结果显示,较为普遍的现象包括:“搜电”等APP首次运行时,在用户授权同意隐私政策前,就收集个人信息;“倍电”等未经同意,在用户点击时或每五分钟多次收集非必要的个人信息,频率超出实际需要;“街电”等未经用户同意或未做匿名化处理直接向第三方提供个人信息;“美团”等未在隐私政策中说明APP收集使用个人信息的目的、方式、范围;“小电”等在申请打开用户权限时未同步告知收集目的。
虽然本次测试的10家共享充电宝(美团、街电、倍电、搜电、小电、来电、怪兽充电、云充吧、咻电、V电)均支持在微信公众号、微信小程序、支付宝小程序下的操作使用,但由于目前国内缺乏针对这三种方式隐私政策的相关规定,故测试仅分析这三种方式下收集用户信息的合理性和传输用户信息的安全性。
结果显示,10家共享充电宝在使用微信、支付宝作为平台时都有收集用户个人信息的行为,其中“咻电”等3家的微信公众号、“V电”等4家的微信小程序、“倍电”等5家的支付宝小程序额外收集了用户的性别或姓名信息,但姓名、性别等个人信息与租借充电宝并无直接联系,属于非必要收集的信息;在小程序的数据传输时,10家共享充电宝虽然采用了通道加密,但是在加密通道中普遍存在对传输的结构化数据未进行加密直接传输的问题,容易被中间人攻击施以窃取和恶意利用。
市消保委就个人信息保护相关问题与企业进行了反馈,督促企业对各自存在的问题进行整改,目前已收到“街电”“小电”“美团”等品牌经营者的整改报告。如“街电”表示已移除APP“拨打电话”权限,新增针对个性化推送的停止、推出、关闭选项;“小电”明确表示经与微信和支付宝沟通后,现已取消公众号和小程序上性别信息的共享和收集;“美团”已进行APP版本升级,更新隐私政策,并表示将建设更直观明了的修改系统权限弹窗说明等。截至目前,“倍电”“来电”“怪兽充电”“云充吧”“咻电”“V电”仍尚未有任何反馈。
相关建议
1、建议共享充电宝的经营者落实主体责任,无论是在自己的APP或是使用微信、支付宝平台开展业务时,遵守相关法律规章,以合法、正当、必要为原则,最小化收集用户信息,并严格履行告知义务,增强数据传输的安全性,即使APP用户使用频率不高也应及时维护升级。
2、建议消费者使用共享充电宝前,仔细阅读相关的隐私政策,留意给出的权限提示,不盲目赋予相关应用过高的权限,不允许其收集不合理的个人信息隐私。
3、建议消费者在使用共享充电宝时,优先选择网点多的品牌,留意相关APP或小程序中的即时信息,归还后及时确认是否成功,若遇到纠纷,保留截图或视频等证据,以备后期维权。